近日，安恒信息安全研究員發(fā)現(xiàn)目前在國內(nèi)政府、教育、公檢法、醫(yī)療等部門使用率非常高的政務系統(tǒng)“OHOCMS”的多處漏洞，包括任意文件上傳、任意文件刪除、任意文件讀取、多處SQL注入等高危漏洞可導致遠程攻擊者直接獲取網(wǎng)站服務器控制權(quán)限。漏洞影響范圍包含了最新版本的OHOCMS政務系統(tǒng)及以前的所有版本。

電子政務的信息安全，關(guān)系到國家安全與公民個人信息安全。經(jīng)安恒信息的安全工程師進行安全排查發(fā)現(xiàn)該系統(tǒng)的漏洞覆蓋了國內(nèi)眾多城市的政府門戶以及公檢法系統(tǒng)，安恒信息已及時將漏洞詳細信息通報給歐虎官方，并提交給中國國家信息安全漏洞庫CNNVD組織。同時，安恒信息安全研究院在進行多次測試和提煉后，與安恒研發(fā)團隊共同完成了歐虎政務系統(tǒng)的產(chǎn)品檢測與防御，目前安恒信息明御Web應用防火墻已經(jīng)能夠防御歐虎政務系統(tǒng)的SQL注入、文件上傳、文件操作等漏洞，并提供了策略升級包，安恒信息將及時安排工作人員對相關(guān)客戶進行升級。同時安恒信息明鑒 WEBSCAN掃描器也能及時探測出該系統(tǒng)這些漏洞。

安恒信息建議其他存在同樣漏洞環(huán)境的用戶關(guān)注歐虎官方的升級補丁，也可以與安恒信息主動聯(lián)系（400-605-9110），隨時協(xié)助有需要的客戶解決該問題。

2014年，安恒信息安全研究院發(fā)現(xiàn)并協(xié)助解決國內(nèi)外各類商業(yè)性質(zhì)的CMS系統(tǒng)漏洞累計106個，其中嚴重高危漏洞104個，并獲得多個CVE漏洞編號，同時也是國家漏洞庫的重要貢獻者。